Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/05/2019
Nansh0u, nuevo malware descubierto
Los investigadores de ciberseguridad de Guardicore Labs han publicado un informe con detalles del nuevo malware identificado que ha infectado a más de 50.000 servidores de PhpMyAdmin y MS-SQL.
La mayoría de los servidores afectados por este nuevo malware se encuentran alojados en China, Estados Unidos e India. El vector de ataque principal es mediante fuerza bruta hacia los servicios MS-SQL y PhpMyAdmin que se encuentran públicamente accesibles.
Nansh0u posee la capacidad de realizar una escalada de privilegios explotando la vulnerabilidad en Windows con identificador CVE-2014-4113, lo que le permite ejecutar código con privilegios de SYSTEM. Además, utiliza técnicas avanzadas de Rootkit para su ocultación y defensa, previniendo que el proceso pueda ser detenido mientras realiza minado de la criptomoneda TurtleCoin (TRTL).
Los investigadores han incluido un script para que los administradores de sistemas lo utilicen para escanear sus servidores en busca de este malware.